認證授權雙保駕，身份管理的選擇關鍵——華為云 OneAccess 應用身份管理服務

一、數(shù)據(jù)暴露和辦公場分散帶來訪問控制挑戰(zhàn)

遠程辦公全球化使「身份安全管理」愈加重要：

·潛在的網(wǎng)絡威脅不斷增多，從內部員工無意的錯誤操作到外部黑客的有意攻擊，任何差池都可能導致企業(yè)資料被盜用或損壞，甚至引發(fā)大范圍網(wǎng)絡安全事件。對企業(yè)而言，建立完善可靠的身份安全防護機制非常必要。

·有效的身份管理機制能夠確保獲授權的用戶才可訪問或修改特定資源，并記錄每步操作，為企業(yè)數(shù)據(jù)安全提供雙重保險?；诮巧臋嘞薹峙淠Ｐ停≧BAC）是一種廣泛使用的身份管理方法，它可準確規(guī)定出特定職位或角色分配到特定權限，讓管理清晰、簡單。

·智能化身份管理體系可切實提升業(yè)務質量，自動處理應用訪問和賬號鑒權問題。員工無需記住數(shù)不清的密碼，管理員亦無須手動審查每項訪問請求，他們可將精力放在更重要的任務上，如開發(fā)新服務或改進現(xiàn)有服務等。

身份管理是所有企業(yè)應給予關注和資源投入去處理的嚴肅課題。華為云 OneAccess 針對挑戰(zhàn)，提供化解良方！

華為云應用身份管理服務 OneAccess是貫穿企業(yè)/政府全業(yè)務流程的身份訪問管理系統(tǒng)，提供集中式的數(shù)字身份管理、認證、授權、監(jiān)控和審計平臺，保證合法的用戶、以適當?shù)臋嘞拊L問受信任的的系統(tǒng)（應用）和設備，并對異常訪問行為進行實時預警和有效防范，為企業(yè)/政府構建“零信任”的安全架構提供基礎。

在訪問安全方面，華為云 OneAccess 通過用戶行為分析（UBA），持續(xù)監(jiān)控網(wǎng)絡活動，并立即識別出與既定模式不符的行為。當檢測到潛在風險或違規(guī)操作時，系統(tǒng)會同步發(fā)出預警，及時防止信息被非法訪問或泄露。

它實現(xiàn)了基于角色的權限策略管理，能清晰、精準地定義每個身份可訪問的特定資源，及可進行的操作。這個設計不僅大幅簡化系統(tǒng)管理員的工作，同時避免因權限過度導致的安全問題。

其彈性伸縮機制可靈活適應業(yè)務變更，滿足企業(yè)不斷增長和演進的需求。例如，業(yè)務在快速擴張等突發(fā)情況下，華為云 OneAccess 能夠批量動態(tài)調整認證服務數(shù)量，杜絕企業(yè)組織擴張帶來的認證阻塞等隱患。

二、華為云 OneAccess 特點分析及價值

用一套機制實現(xiàn)數(shù)字身份管理、認證、授權、監(jiān)控、審計，保證合法用戶以適當權限訪問受信任的設備和應用，有效防范異常訪問行為并實時預警。——華為云 OneAccess 安全管理「全生命周期企業(yè)身份」

1.用戶行為分析(UBA)：華為云 OneAccess 收集并分析操作日志、活動記錄等信息，智能識別用戶行為模式是否正常，自動捕獲潛在風險及時報告潛在惡意活動。例如，某個員工突然跨部門嘗試暴力訪問內部資源，華為云 OneAccess 將當即發(fā)出預警并自動阻斷該類動作，加強企業(yè)數(shù)據(jù)資產(chǎn)保護。

圖1管控流程示意圖

2.角色權限控制:以「角色授權」策略匹配組織結構和職責，結合華為積累多年的網(wǎng)絡安全經(jīng)驗和 AIGC 實踐，華為云 OneAccess 采取多因素認證(MFA)、單點登錄(SSO)、權限無縫銜接等技術，滿足精細化、標準化的權限分配需求，形成綜合防御體系保護企業(yè)內部數(shù)據(jù)，并簡化權限管理。

圖2智能訪問防控示意圖

3.彈性擴展機制：提供角色訪問控制（RBAC）模型，管理員可自定義不同角色對應權限，在企業(yè)業(yè)務即將或正在經(jīng)歷變化期間，按需對身份源進行臨時或長期變更，無論企業(yè)體量增減，華為云 OneAccess 都能確保企業(yè)內部連續(xù)穩(wěn)定運行，不出紕漏。

圖3貫穿企業(yè)身份全生命周期安全示意圖

4.無死角防護：受益于華為技術專家團隊支持，華為云 OneAccess 在身份驗證領域具顯著優(yōu)勢。不僅支持如靜態(tài)密碼、OTP、二維碼、短信、手勢驗證、生物特征驗證，且可協(xié)同移動設備認證，通過移動端 APP 采集設備數(shù)據(jù)作能力比對，以多樣化認證最大限度實現(xiàn)全方位「無感驗證」。

圖4認證框架示意圖

5.清除冗余建設：華為云 OneAccess 減少安全事件導致的經(jīng)濟損失的同時，關注節(jié)省用戶成本，采用統(tǒng)一身份管理平臺和應用導航門戶整合分散環(huán)節(jié)的建設，讓企業(yè)降低 IT 成本，釋放投資空間。

圖5集中式導航示意圖

提倡先進實戰(zhàn)技術創(chuàng)新，華為云 OneAccess 是企業(yè)成功通往數(shù)字換轉型，釋放核心競爭力的關鍵。

三、華為云 OneAccess 適用范圍

華為云 OneAccess 主要面向需進行身份管理、提升網(wǎng)絡訪問安全，改良數(shù)字化組織結構的機構與企業(yè)。具體包括：

1.大中小型企業(yè)

無論規(guī)模大小,華為云 OneAccess 都能為機構內部的網(wǎng)絡安全保駕護航，特別是對于擁有大批員工和敏感數(shù)據(jù)的企業(yè)來說，身份管理服務尤為重要。

2.政府機關

通常涉及公民信息處理，因此訪問安全是前提，可靠有效的網(wǎng)絡身份管理工具是必備。

3.教育機構

學校等教育機構的人員信息流動和諸多在線資源需求，要求身份管理環(huán)境安全。

4.醫(yī)療行業(yè)

醫(yī)療行業(yè)在處理患者隱私信息時，各團隊會嚴格遵循人員安全標準，同時高效協(xié)作。華為云 OneAccess 可對此進行同步約束。

5.IT 行業(yè)及其他

IT 行業(yè)以及其他關注身份安全并希望提高員工生產(chǎn)力和工作效率的行業(yè)。例如，在數(shù)字化轉型的討論中，IT 管理人員會尋找解決方案用于改進身份和訪問管理；在企業(yè)安全培訓中，決策者期望通過升級現(xiàn)有系統(tǒng)提升訪問安全；再如用戶購買新業(yè)務軟件時，希望該軟件的身份認證環(huán)節(jié)能無縫銜接舊系統(tǒng)；面對上述訴求，華為云 OneAccess 隨需應變，制定靈活的解決方案。華為云 OneAccess 的能力范圍不限于上述領域，還包括線上市場營銷，如產(chǎn)品網(wǎng)站介紹、在線研討會、郵件推廣、SaaS 或云服務市場等。此外，也可在各類行業(yè)展覽會或技術論壇的宣傳推廣活動中鋪開使用。

華為云OneAccess提供統(tǒng)一身份訪問管控平臺，進行企業(yè)精細化權限控制，支持自定義策略。無論是技術實現(xiàn)或用戶體驗均獨具特色，下一期將就其服務的企業(yè)收效、用戶反饋等業(yè)務現(xiàn)狀進行梳理評估，作客觀呈現(xiàn)。

審核編輯 黃宇